1,400개 이상의 웹 앱, 모바일 앱 및 API에 대한 Indusface의 연구 결과 공개 취약점이 사이버 범죄자의 가장 중요한 공격 벡터로 남아 있는 것으로 나타났습니다.

이에 따르면 신고, 829억 XNUMX만 건의 공격 차단 앱트라나 WAF 2022년 79분기에는 XNUMX분기보다 XNUMX% 증가했습니다.

놀라운 결과는 61,713개의 공개 취약점이 발견되었다는 것입니다. 이는 50분기보다 XNUMX% 증가한 것입니다. 공개된 취약점의 수는 증가한 위협 행위자와 직접적인 관련이 있습니다.

그들을 어떻게 보호할 수 있습니까? 가장 좋은 방법은 공격을 차단하면서 WAF 수준에서 가상 패칭을 사용하여 알려진 취약점을 수정하는 것입니다.

애플리케이션에서 발견된 치명적인 취약점

어떤 취약성이든 비즈니스에 위험을 수반하지만 10년 2022분기에 해커가 악용하려고 시도한 상위 XNUMX개 중요/고위험 취약성은 다음과 같습니다.

• 서버 측 요청 위조
• HTML 주입
• 교차 사이트 스크립팅(XSS)
• TLS/SSL 서버 인증서가 곧 만료됩니다.
• 스크립트 소스 코드 공개
• SQL 인젝션
• SSL 인증서 일반 이름 불일치
• TLS/SSL 서버 인증서가 만료됨
• 신뢰할 수 없는 TLS/SSL 서버 인증서
• 안전하지 않은 직접 개체 참조

아직 수행하지 않은 경우 이러한 취약성을 해결하는 우선순위를 지정하십시오.

취약점 비용

하나의 취약점이 수천 개의 사이버 보안 문제를 일으킬 수 있습니다. Poodle, Heartbleed, EternalBlue 및 Shellshock은 비즈니스를 보안 위협에 노출시키는 취약점 중 일부에 불과합니다.

이 보고서는 취약점의 31%가 180일 이상 열려 있는 것으로 나타났습니다. 그리고 이 중 1,700개 이상이 심각하고 높은 취약성으로 평가되었습니다.

그렇다면 취약점을 패치하지 않으면 어떻게 될까요? 이 책임을 유지하지 못하면 잠재적인 보안 위반을 포함하여 심각한 결과를 초래할 수 있습니다.

2017년에 대규모 Equifax 보안 침해 사건이 헤드라인을 장식했습니다. 해커는 앱 프레임워크에서 알려진 취약성 CVE-2017-5638을 악용하여 회사 시스템에 액세스했습니다.

이 침해로 인해 147억 1.4만 명의 개인 식별 정보(PII)가 노출되었습니다. 유출 XNUMX년 후 회사는 정리 비용과 보안 프로그램 개편에 XNUMX억 달러를 지출했다고 밝혔습니다. Equifax는 위반과 관련된 청구를 해결하기 위해 최대 700억 달러를 지불하기로 합의했습니다.

위반의 총 비용은 보고된 합의 및 비용보다 높을 수 있습니다. 또한 신뢰 상실, 브랜드 명성, 비즈니스에 대한 장기적인 영향과 같은 무형의 비용도 포함됩니다.

가상 패칭으로 취약점 관리

보안 패치는 취약점을 처리하는 데 중요한 역할을 합니다. 그들은 보안 격차를 메우고 위험을 해결합니다. 결국 성공적인 악용은 보안되지 않은 구성 또는 누락된 보안 제어를 의미합니다.

패치 프로세스는 때때로 까다로울 수 있습니다. 많은 회사에서 시스템을 즉시 패치할 수 없을 때 웹 애플리케이션 방화벽(WAF)에서 앱을 보호하기 위해 가상 패치로 전환합니다.

가상 패치 위험 기간과 그 이후에 앱을 보호하는 취약성 보호막입니다. 이를 통해 몇 분 또는 몇 시간 내에 적용할 수 있는 적절한 방어에 따라 적용 범위와 대응을 확장할 수 있습니다. 따라서 취약점에 노출될 위험이 줄어듭니다.

가상 패칭은 WAF에서 보안 정책 계층을 구현하여 달성됩니다. 코드베이스를 변경하지 않고 애플리케이션 취약성을 제거합니다.

회사는 두 가지 방법으로 가상 패칭을 활용하여 취약점을 완화할 수 있습니다.

1. 핵심 규칙
2. 맞춤 규칙

Indusface 보고서에 따르면 WAF 핵심 규칙 집합은 요청의 40%를 차단하고 사용자 지정 규칙은 60%를 차단합니다.

사용자 지정 규칙이 탄력을 받는 이유는 무엇입니까?

핵심 규칙은 업계 모범 사례를 기반으로 미리 정의되고 표준화되었으며 알려진 취약성으로부터 보호하도록 설계되었습니다. 보안 전문가는 일반적으로 이러한 규칙을 만듭니다. 핵심 규칙은 구현하기 쉽고 높은 수준의 보호를 제공할 수 있습니다.

대부분의 개발 팀은 몇 주 동안 지속되는 스프린트 작업을 하기 때문에 변경되는 코드와 함께 취약점이 계속 추가됩니다.

대부분의 회사는 애플리케이션에 대한 주간 검사 및 주기적인 침투 테스트를 활용합니다. 코드에서 이러한 문제를 수정하는 것은 길고 힘든 작업이므로 제품 소유자는 WAF의 사용자 지정 규칙에 의존하여 이러한 취약점을 연결하고 개발 팀은 배송 기능에 집중합니다.

팀이 보안에 중점을 둔 스프린트에 도달할 때마다 코드에서 이러한 취약성을 수정합니다.

가상 패칭은 위험 완화 메커니즘으로도 사용됩니다. 예를 들어, 애플리케이션 소유자가 애플리케이션을 사용하도록 설계되지 않은 지역의 트래픽을 제한하려고 함에 따라 사용자 지정 규칙 범주에서 지오펜싱이 인기를 얻고 있음을 관찰했습니다. 다른 예는 애플리케이션에 대한 트래픽을 허용하는 데 사용되는 블랙리스트 또는 화이트리스트 IP입니다.

위양성 모니터링

사용자 정의 규칙의 힘은 의심의 여지가 없지만 응용 프로그램의 오탐지 모니터링 부담도 가중됩니다.

여러 보안 리더와 이야기하면서 계속해서 듣는 한 가지 일관된 주제는 WAF/와 같은 복잡한 애플리케이션을 관리할 수 있는 숙련된 보안 실무자가 부족하다는 것입니다.와프.

또 다른 도전은 악화되고 있는 경제입니다. 보안팀은 점점 더 적은 자원으로 더 많은 일을 하라는 요구를 받고 있습니다.

우리는 가상 패치를 지원하고 오탐이 없음을 보장하기 위해 관리형 서비스에 의존하는 제품 소유자의 증가 추세를 보고 있습니다.

결론

공격자가 악용 가능한 코드를 발견하면 다음 단계는 취약점을 이용하는 것입니다.

가상 패칭을 빨리 배포할수록 공격자는 더 빨리 다른 곳을 찾습니다. WAF를 계속 실행하여 보안과 수익을 보장하십시오.

저자에 관하여

Venky는 Indusface에서 창립 CTO로 새로운 시대의 웹 애플리케이션 스캐너와 클라우드 WAF AppTrana를 구축한 애플리케이션 보안 기술자입니다. 현재 그는 미국 기업의 제품 로드맵, 고객 성공, 성장 및 기술 채택을 추진하는 데 시간을 보내고 있습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/application-security/appsec-playbook-2023-study-of-829m-attacks-on-1-400-websites